Sicherheit bei Dienstleistungen: von frommen Wünschen zur Realität

icon menu smartphone

Gewährleistung der Informationssicherheit angesichts einer Unzahl von Anbietern

 

01. Worum geht es?

Wir werden uns einer Fragestellung zuwenden, die in den IT-Abteilungen der großen Unternehmen sehr diskutiert wird und die am Schnittpunkt der Informationssicherheit und des massiven Outsourcing liegt: die Sicherheit bei Hinzuziehung von Drittparteien – ein Thema, so umfassend wie kaum ein anderes.

Beginnen wir mit der gegenwärtigen Situation. Einerseits werden überall in der Informatikwelt Dienstleistungen von Anbietern in Anspruch genommen, und das bereits seit vielen Jahren. Andererseits ist die Informationssicherheit eines der Hauptanliegen der IT-Service-Manager. Dies sind zwei bekannte Gegebenheiten, die wir nicht näher erklären müssen.

Sehen wir uns jetzt die Umgebung an, in die sich diese Anbieter einfügen. Sie müssen sich mit einer gigantischen Dokumentation auseinander setzen.

Mit anderen Worten – wir haben es mit einer enormen Komplexität zu tun. Sehen wir uns diesen Sachverhalt jetzt unter dem Gesichtspunkt der Sicherheit an: In Ihrem Unternehmen wird eine ziemlich große Gruppe von Leuten arbeiten müssen, die eine schlechtere Kenntnis der IT-Umgebung hat und die viel weniger mit den herkömmlichen Sicherheitsinitiativen in Kontakt kommt.

Welcher Teil der Anbieter, die das Unternehmen in Anspruch nimmt, unterschreibt denn die IT-Nutzungsvereinbarung oder die Vertraulichkeitsvereinbarung oder durchläuft einen Sensibilisierungskurs? Und wie viele unter ihnen haben all dies wirklich zur Kenntnis genommen? Ungeachtet dieser lobenswerten Anstrengungen erlaube ich mir, Zweifel ausdrücken, inwieweit sie tatsächlich wirksam sind.

Ich erspare Ihnen den üblichen Vortrag zum Anstieg der Bedrohungen, den Malwares, den Denial-of-Service-Attacken, den APTs, den anonymen Angriffen oder den russischen Staatshackern (da ja die chinesischen Hacker zurzeit nicht mehr „in“ sind). Wenn Ihnen Furcht, Ungewissheit und Zweifel fehlen („FUD“ für unsere englischsprachigen Freunde), laden Sie sich die Präsentation des nächsten Antivirenherstellers herunter!

Scherz beiseite – ich glaube nicht, dass es nötig ist, Sie von der Realität oder Ernsthaftigkeit der Bedrohungen für die Informationssicherheit zu überzeugen. Wenn Sie sich ein besseres Bild der Bedrohung machen möchten, können Sie die jeweiligen Veröffentlichungen des CESIN oder des CLUSIF konsultieren.

Da ich nicht alles in einem einzigen Artikel behandeln kann, werde ich mich hier auf das Thema der Informatik-Dienstleistungen konzentrieren, bei denen es zu einer unmittelbaren Wechselwirkung mit einer Kundenumgebung kommt. Es geht also um einzeln abgerechnete oder pauschale Dienstleistungen und viel weniger um große Verträge zur Anwendungswartung oder zum Support durch Drittparteien. Für letztere ist es einfacher, Umrisse festzulegen und eine Grenze zwischen dem „externen“ und dem „internen“ Bereich aufzustellen und die guten alten Maßnahmen zur Perimeterabsicherung einzusetzen, so überaltert sie auch sein mögen.
 

02. Vertragliche Lösungen und ihre Grenzen, oder wie man echte Sicherheit gewinnt

Beginnen wir mit einer ziemlich verbreiteten Lösung, die – ehrlich gesagt – ernsthafte Einschränkungen aufweist: die Welt der vertraglichen Klauseln und ihr Avatar im Bereich der Sicherheit: der Sicherheitsplan (SAP). Bei diesen Initiativen, die von einem blinden Vertrauen in den Wert des Vertrags getragen werden, wird davon ausgegangen, dass es ausreicht, Klauseln von der Art „Ich verpflichte mich, alle nötigen Maßnahmen zum Schutz der Kundendaten zu ergreifen“ aufzunehmen, und schon kann der Anbieter völlige Sicherheit auf dem neuesten Stand der Technik garantieren.

Bleiben wir ernst. Diese Klauseln werden in Wirklichkeit nur sehr selten angewendet: Die meisten Unternehmen würden das Risiko eingehen, morgen ein Problem zu haben, um heute einen Vertrag einzuheimsen.

Manch einer wird denken, dass die Klauseln den Zweck haben, im Problemfall nachzuweisen, dass der Anbieter im Unrecht ist und seinem Kunden eine Entschädigung schuldet. Das gilt allerdings nicht für Probleme bei der Informationssicherheit, die kolossale Auswirkungen haben können. Zahlreiche Dienstleistungsunternehmen hätten zu keinem Zeitpunkt die Mittel, eine große Gesellschaft bei einem ernsthaften Vorfall entsprechend zu entschädigen. Selbst wenn man ihnen ihr ganzes Unternehmen, ihre auf Kredit gekauften Autos und ihren Hund wegnähme!

Damit wir uns richtig verstehen: Derartige vertragliche Klauseln sind sicher nicht unnötig, ganz im Gegenteil: Die Sicherheit muss schwarz auf weiß in die Rahmenverträge hineingeschrieben werden. Das ist der Ausgangspunkt, um ein gutes Leistungsniveau von seinen Anbietern zu erhalten. Es wäre aber ein Fehler, es dabei zu belassen.

Nachdem wir diesen Punkt geklärt haben – wie geht es weiter? Über eines muss man sich im Klaren sein: Um ein gutes Sicherheitsniveau von seinem Anbieter zu erhalten, ist mehr nötig als die Unterzeichnung eines Vertrags, der genauso viel Aufmerksamkeit verdient wie die 231. Aktualisierung der Nutzungsbedingungen von Candy Crush. Ich werde im Folgenden auf unsere konkreten Empfehlungen eingehen, um all dies umzusetzen. Beginnen wir mit der Frage: „Welche Themen müssen angegangen werden? “

Sie könnten die Anwendung der 114 Maßnahmen von ISO/IEC 27002 verlangen. Ein Vorgang, der ein oder zwei Jahre in Anspruch nehmen würde! Man könnte auch sofort von seinen Anbietern fordern, das ISO/IEC-Zertifikat 27001 zu erlangen. Verstehen wir uns richtig: Es ist wahrscheinlich eine ausgezeichnete Idee, ISO 27001 von seinen Anbietern zu verlangen. Wenn Sie, liebe(r) Leser(in), jedoch diese Stufe erreicht haben, dann brauchen Sie wahrscheinlich meine paar Ratschläge zu diesem Thema nicht mehr!

Wir werden uns daher auf fünf wichtige Themen im Bereich der Sicherheit bei Hinzuziehung von Drittparteien beschränken:

Beginnen wir mit der Sensibilisierung für Sicherheitsfragen. Sie verfügen wahrscheinlich über Sicherheitsregeln, Richtlinien für bewährte Verfahrensweisen, eine oder mehrere Vereinbarungen zur richtigen Nutzung des IT-Systems usw., und es wäre doch schade, wenn all diese hochwertigen Ressourcen nur betriebsintern zum Einsatz kämen. Es ist hingegen unerlässlich, dass sie auf adäquate Weise, z. B. in Form eines speziellen Begrüßungs-Pakets für externe Anbieter präsentiert werden. Es ist auch wichtig, die externen Anbieter soweit wie möglich in die vorhandenen Sensibilisierungsinitiativen einzubeziehen. Sie davon auszuschließen, wäre zweifach schädigend, weil Anwendern des IT-Systems dadurch zum einen wichtige sicherheitsrelevante Kenntnisse vorenthalten würden, und weil zum anderen ein falsches Signal gesendet würde, das Personen von ihrer Verantwortung entbindet. Es ist aber ausschlaggebend – und diesen Punkt werden Sie oft in meinen Zeilen wiederfinden – dass sich alle Beteiligten, Anbieter eingeschlossen, ihrer Verantwortlichkeiten bei der Sicherung des IT-Systems bewusst werden.

Gehen wir noch einen Schritt weiter: Diese Initiativen zielen darauf ab, die sicherheitsrelevanten Kompetenzen aller Beteiligten zu entwickeln. Warum sollten Sie von Ihren Anbietern nicht ein Mindestniveau an Informationssicherheit verlangen? Warum sollten Sie nicht vom Unternehmen des Anbieters Nachweise verlangen, dass er kürzlich auf diesen Sachverhalt aufmerksam gemacht wurde? Wir müssen zugeben, dass es sich bei der Sicherheit gegenwärtig um eine Grundkompetenz beim Einsatz von IT-Systemen handelt, insbesondere bei den Informatikberufen.

Wenden wir uns jetzt einem bodenständigen Thema zu, dass aber dennoch sehr wichtig ist: die Geräteverwaltung. Ein Laptop oder ein Smartphone eines Unternehmens stellen im Hinblick auf die Informationssicherheit extrem wertvolle Aktivposten dar – wegen der darin enthaltenen Informationen, der Zugangsmöglichkeiten zum IT-System, gespeicherten Passwörtern, E-Mails, Adressbüchern usw. Den Möglichkeiten für Missbrauch sind keine Grenzen gesetzt. Ich vermute, dass Sie bereits über eine zentralisierte Geräteverwaltung verfügen, und in diesem Fall existieren im Endeffekt ziemlich wenig Lösungen, die gleichzeitig erfinderisch und realistisch sind: Es muss für Einrichtung und Unterhalt eines Inventars und seine Nutzung gesorgt werden, es müssen vorhandene Verwaltungsinstrumente eingesetzt und es muss sichergestellt werden, dass sie in die Eingangs- und vor allem die Ausgangsprozesse der Anbieter einbezogen werden. Die kritische Rolle der Geräteverwaltung hat mich jedenfalls dazu veranlasst, dies zu erwähnen.

Sehen wir uns ein kritisches Thema für die Betriebssicherheit an: das Störfallmanagement. Es ist völlig legitim, Aufdeckungs- und Reaktionsfähigkeiten von einem Anbieter zu verlangen … wenn es die ihm anvertrauten Informationen und Verarbeitungsvorgänge rechtfertigen! In den einfachsten Fällen – der zeitweisen Bereitstellung von Fachberatern – können nur ziemlich wenige Störfälle seitens des Anbieters ernsthafte Auswirkungen auf Sie haben. Wenn allerdings einem Anbieter die Unterbringung empfindlicher Systeme anvertraut wird, ist das natürlich eine andere Geschichte. Aber wir gehen hier ziemlich schnell über die Grenzen dieses Artikels hinaus, der ohnehin schon sehr vollgepackt ist.

Halten wir uns besser einen Moment bei den Informationen auf, die dem Anbieter anvertraut werden, wobei ihm gewöhnlich vertraglich auferlegt wird, sie in guter Obhut aufzubewahren. Erinnern Sie sich an meine Meinung zu den Vertragsklauseln? Sie trifft vollständig auf dieses Thema zu: Der Schutz vertraulicher Daten läuft Gefahr, ohne präzise Anweisungen Ihrerseits nicht sehr wirksam zu sein. Zwei Elemente scheinen mir hierbei ausschlaggebend zu sein: Einerseits müssen Sie selbst die nötige Reife im Bereich des Datenschutzes haben und in der Lage sein, Daten entsprechend zu klassifizieren. Andererseits müssen Sie Verschlüsselungen und andere klassische Maßnahmen zum Schutz vertraulicher Daten verlangen. Ich werde hier nicht näher darauf eingehen, da dieses Thema bereits ausführlich behandelt wurde. Wenn Sie sich über diese Fragestellung informieren möchten, scheinen die Kategorien „bewährte Verfahrensweisen“ auf der ANSSI-Website ein guter Ausgangspunkt zu sein.

Beenden wir schließlich dieses Kapitel praktischer Ratschläge mit einem etwas spezifischeren Punkt – der Integration der Sicherheit in die Projekte. Die theoretisch zugrunde liegende Idee ist die security by design. Zusammenfassend gesagt handelt es sich dabei darum, die Sicherheit in alle Phasen eines Projekts zu integrieren – in das Pflichtenheft, die Spezifikationen, Entwicklung, Test, Abnahme, Herstellung ... (oder in jedes Detail, wenn wir besonders gründlich sind). Die Phasen, die uns bei unserem Thema zur Integration der Sicherheit in die Dienstleistungen am meisten betreffen, werden wahrscheinlich der Anfang und das Ende des Projektvorhabens sein. Mit anderen Worten: Denken Sie während der Abfassung des Pflichtenhefts daran, die Sicherheitsanforderungen an das Produkt auszudrücken und wie für jede andere Funktionalität eine Reaktion auf diese Anforderungen zu verlangen (und dies bei der Wahl des Gewinners der Ausschreibung zu berücksichtigen!). In der Abnahmephase sollten Sie eine Sicherheitsabnahme verlangen oder durchführen, durch die die ordnungsgemäße Funktionsfähigkeit der Sicherheitskomponenten validiert wird – auch hier wieder wie bei jeder anderen Funktionalität! Das versteht sich von selbst, werden Sie sagen? Ich persönlich warte immer noch ungeduldig darauf, dass die Sicherheit zu einer natürlichen Funktionalität unter den anderen Funktionalitäten wird!
 

03. Unsere Erfahrungswerte

Soviel zu den Abnahmen, soviel zu den großen Prinzipien. Ich hoffe, Sie werden verstanden haben, dass es in diesem Artikel nicht nur darum geht, gute Ideen zu übermitteln, sondern die Umsetzung dieser Ideen zu erreichen und das tatsächliche Sicherheitsniveau anzuheben! Daher werde ich Ihnen auch unsere Erfahrungswerte bei der Umsetzung dieser Prinzipien bei Emagine mitteilen – zum Nutzen eines Teils unserer Kunden.

Zuerst etwas Kontext: Emagine ist eine Beratungsfirma, die sich weitgehend auf die Sachkenntnis seines Netzwerks aus Freelancern und sehr kleiner Unternehmen stützt. Dabei handelt es sich um höchst kompetente Personen, deren Beruf jedoch im Allgemeinen nicht sicherheitsrelevant ist und die nicht den nötigen Status haben, um sich auf betriebsinterne Sicherheitskompetenzen stützen zu können. Unsere Verantwortung besteht darin, die Anforderungen unserer Kunden in Sicherheitsfragen an die Anbieter weiterzugeben, die manchmal schlechte Voraussetzungen mitbringen, um darauf zu reagieren. Wir hatten daher einen großen Bedarf an Instrumenten und Prozeduren, um die Sicherheit in die Dienstleistungen zu integrieren!

Zuerst werde ich unsere Vision dieses Vorhabens erklären: Die Integration der Sicherheit in die Dienstleistungen ist einerseits eine Kontroll- und Auswertungsarbeit, aber auch ein Schauplatz zur Sensibilisierung der Akteure. Die besten Ergebnisse werden mit einer harmonischen Mischung dieser beiden Elemente erzielt.

In Bezug auf die Sensibilisierung scheint es mir unerlässlich, alle Anforderungen bekanntzugeben und auf die unterschiedlichen Beteiligten einzugehen. Forderungen auf klare Weise formulieren, Richtlinien aufstellen, die genauen Sachverhalte des Vorhabens erklären – durch all diese Maßnahmen erhält die Frage der Sicherheit ihre Legitimität, und der unerwünschte Effekt der „zusätzlichen Verpflichtungen“ wird abgedämpft . Verstehen wir uns richtig: Dieses Vorhaben ist eine zusätzliche Verpflichtung, und es liegt an uns, zu zeigen, dass es keine unnötige Verpflichtung ist, sondern im Gegenteil eine Investition, eine Quelle zur Wertschöpfung für alle.

In dieser Hinsicht ist es auch wichtig, seine Präsentation, seine Instrumente an seinen Gesprächspartner anzupassen. Noch eine Selbstverständlichkeit, werden Sie sagen? Sicher, aber die Maßnahmen haben die Tendenz, zu einheitlich zu sein, und es dürfen nicht dieselben Sicherheitsgarantien verlangt werden:

Ein einziger Punkt muss konstant bleiben und darf nicht verhandelt werden: deutlich gekennzeichnete Mindest-Sicherheitsgarantien, unterhalb derer die Kundenorganisation einem zu hohen Risiko ausgesetzt wäre.

Wenden wir uns jetzt der Auswertungs- und Kontrollarbeit zu. Hier berühren wir einen sehr wichtigen Punkt – einerseits für die Glaubwürdigkeit des Vorhabens und andererseits für das Vertrauen des Endkunden. Dabei müssen wir eine ziemliche Hürde überwinden: Wie überzeugen wir den Kunden von der Ernsthaftigkeit und dem Wert unseres Vorhabens, wo doch ein Dienstleistungsunternehmen wie das unsere per Definition zugleich Richter und Partei ist?

Die Lösung ist nicht schwer: Wir müssen ein Auditkonzept einrichten, wobei die Prinzipien von Integrität, Berufsethos, professioneller Gewissenhaftigkeit und vor allem eine auf Nachweisen basierende Vorgehensweise respektiert werden. Alle oben aufgeführten Sicherheitsanforderungen müssen nämlich jedes Mal, wenn es möglich ist, durch dokumentierte Nachweise gestützt werden. Prozeduren, Dokumentationen, Beispiele vergangener Situationen – all das kann akzeptiert werden und wird sich als überzeugender erweisen als eine wenig verpflichtende Beteuerung.
 

04. Ein Wort zum Schluss

Ich war in diesem Artikel ziemlich redselig und werde daher jetzt versuchen, mich knapp zu fassen: Ich hoffe, dass es mir gelungen ist, Ihnen mein Interesse an der Ausweitung der Sicherheit bei den Dienstleistungen deutlich zu machen. Keine theoretische oder begriffliche Revolution, sondern eine konkrete und reelle Anhebung des Sicherheitsniveaus für die vernetzten Geräte der Beteiligten. Kein Werkzeug und keine revolutionäre Technologie, sondern eher der bewusste Einsatz der Sensibilisierung bei einer Zielgruppe, die bislang nur wenig betroffen war. Das ist wahrscheinlich das größte Verdienst dieser Vorgehensweise – die Initiierung einer positiven Dynamik durch die Forderungen der Großkunden und ein besseres Niveau der Dienstleistungsunternehmen.

Kontakt


Nicolas Levain
Chief Information and Security Officer
T +33 1 81 93 88 02



Kontakt

 

Kontakt